王巍
中国铁路设计集团有限公司
摘要:结合轨道交通信号系统的主要设计方案,从信号系统的配置、构成特点、与相关专业的接口等方面来看,提升轨道交通信号系统及相关联其他系统网络安全的防护能力,是迫切的。建立切实有效的方案能保护系统安全,防止木马、蠕虫、黑客等各种威胁和攻击,保障城市轨道交通安全稳定运行。
1.城市轨道交通信号系统网络安全现状
随着计算机和网络技术的发展,特别是信息化与信号系统深度融合,CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与PIS网络、语音广播等公共网络连接,造成病毒、木马等威胁向CBTC系统扩散,信号系统安全问题日益突出。特别是车地无线通信的应用,攻击者可以通过无线方式进行入侵和攻击。一旦CBTC系统的信息安全出现漏洞,将对城市轨道交通的生产运行和国家安全造成重大隐患。根据目前地铁信号系统设计方案,目前轨道交通信号系统的安全措施仅限于安装防火墙、保密设备和杀毒软件等初级的保护措施,无法有效的防止信息安全事件的发生。
2.信号系统信息安全的总体要求
城市轨道交通信号系统,在整个城市轨道交通系统中既要保证安全,同时又要保证效率。当前信号系统是建立在基于无线的移动闭塞列车控制系统,主要是以网络传输为主要载体。在信息安全角度,主要是网络安全。从网络安全的角度,保护网络环境至关重要。从保护网络环境的角度,至少需要如下几点:
(1)建立用户终端、服务器和应用系统的保护机制,防止拒绝服务、数据未授权泄露和数据更改;
(2)保护操作系统;
(3)保护数据库;
(4)身份认证;
(5)建立入侵检测体系;
(6)建立病毒防范体系;
(7)具备足够的防止内、外人员进行违规操作和攻击破坏的能力等。
3.信号系统信息安全的主要思路
3.1构建分域的控制体系
地铁信号系统信息安全等级保护解决方案,在总体架构上将按照区域边界保护思路进行,将地铁信号系统和外部系统从结构上划分为不同的安全区域,以安全区域为单位进行安全防御技术措施的建设,各个安全区域内部还根据安全需求的不同进一步划分了子安全域,子安全域的边界也采用了响应的访问控制措施,从而构成分域的安全控制体系。
控制大型网络安全的一种方法就是把网络化分成单独的逻辑网络域,如组织内部的网络域,和外部网络域,每一个网络域由所定义的安全边界来保护,即分域保护。这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流。安全防护设备要经过配置,以过滤两个区域之间的通信量和根据组织的访问控制方针来堵塞未授权访问。
3.2构建纵深的防御体系
地铁信号系统安全建设方案包括技术和管理两个部分,针对地铁信号系统分别从物理安全、网络安全、主机安全、应用安全通、数据安全及备份恢复五大方面进行安全技术和措施的设计,实现地铁信号系统业务应用的可用性、完整性和保密性保护,并在此基础上充分考虑各种技术的组合和功能的互补性,提供了多重安全措施的综合防护能力,从外到内形成一个较为纵深的安全防御体系,保障信息系统整体的安全保护能力。
3.3建立基于关键节点防护的防范体系
地铁信号系统等级保护设计方案将采用分级的办法,对于同一安全等级系统采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。
4.分域安全保护框架
4.1等级保护网络结构安全要求
在信息系统安全等级保护基本要求中,安全等级保护三级S3A3G3的基本要求中,明确要求网络系统必须具备结构化的安全保护能力,具体要求包括:
?结构安全(G3):
?应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
?应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
?应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
?应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
4.2安全域的定义及划分原则
安全域是根据等级保护要求、信息性质、使用主体、安全目标和策略等的不同来划分的,是具有相近的安全属性需求的网络实体的集合。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化为次级安全域、三级安全域等等。同一级安全域之间的安全需求包括两个方面:隔离需求和连接需求。隔离需求对应着网络边界的身份认证、访问控制、不可抵赖、审计、监测等安全服务;连接需求对应着传输过程中保密性、完整性、可用性等安全服务。下级安全域继承上级安全域的隔离和连接需求。
地铁信号系统应该划分安全域,并对不同级别的安全域实行分级的保护。
地铁信号系统安全区域的划分主要依信号系统的应用功能、资产价值、资产所面临的风险,划分原则如下:
(1)系统功能和应用相似性原则
安全区域的划分要以服务地铁信号系统应用为基本原则,根据应用的功能和应用内容划分不同的安全区域。
(2)安全要求相似性原则
在信息安全的三个基本属性方面,同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。
(3)威胁相似性原则
同一安全区域内的信息资产应处在相似的风险环境中,面临相似的威胁。
4.3安全域控制的原则及域间的安全策略
必须对高级别安全域进行保护,使之免受可能导致高级别数据被低级别安全域的用户泄漏、篡改、破坏的攻击,高级别安全域中的资源不能由非授权的低级别安全域用户使用、修改、破坏或禁用。基于以上对轨道交通信号系统安全域的划分,在边界安全方面需要考虑的问题主要有:
(1)不同级安全域之间的安全控制
主要考虑不同级安全域之间互访的安全控制问题。
(2)同级安全域之间的安全控制
主要考虑不同逻辑网络之间的同级安全域之间的安全控制问题,以及同一逻辑网络的同级安全域之间的安全控制问题。
(3)同一安全域内不同级别安全子域之间的安全控制
主要考虑同一安全域内不同逻辑网络之间的安全控制问题。
5.信号系统网络安全具体实施措施
5.1建立智能工业防火墙守护网络边界安全
目前,CBTC、ISCS、PIS等子系统之间存在互联接口,但缺乏可靠的技术隔离手段进行区域隔离,给整个轨道交通系统留下了安全隐患。通过在这些系统边界部署智能工业防火墙,根据数据包执行访问控制规则,实现隔离与访问控制,即只允许系统和其他互联系统正常业务数据穿过该平台,其他访问均被禁止。
5.2配置监测审计平台监控流量
外部攻击和内部误操作行为引发城市轨道安全问题的重要因素,在关键位置,旁路部署监测审计平台,对系统网络流量、网络数据、事件进行实时监控、实时告警,并对网络中存在的所有活动进行行为审计、内容审计,生成完整记录便于发生安全事故时进行追溯。
5.3确保主机终端安全
在线路的所有主机上部署工控卫士软件,监控工控主机的进程状态、网络端口状态、USB端口状态。以白名单的技术方式,禁止一切非法进程的加载和启动,从而防止恶意程序的运行,切断病毒和木马的传播与破坏路径,彻底解决主机不能安装杀毒软件或者病毒库升级后影响程序运行的问题。
5.4实现监管加评估,让持续运维更安全
在各系统交换机上部署安全监管平台,方便业主对各系统部署的安全防护设备进行统一管理和维护,以及提高全面的安全态势感知能力。同时部署威胁评估平台,定期风险评估,提高轨道交通系统网络安全风险自评能力。
6.结束语
针对城市轨道交通信号系统的解决方案及主要措施,是目前业内针对轨道交通系统安全技术经济较为合理的解决方案,纵深防御的思想已经在多条地铁线路中实施和应用,并得到了众多地铁业主的认可。构建城市轨道交通信号系统网络安全运行体系,为城市轨道交通安全平稳运行保驾护航是必要的,也是当前计算机网络迅猛发展的重要防护方法。